1. SQL语句的执行过程——Statement直接执行的弊病： 1) SQL语句和编程语言一样，仅仅就会普通的文本字符串，首先数据库引擎无法识别这种文本字符串，而底层的CPU更不理解这些文本字符串（只懂二进制机器指令），因此SQL语句在执行之前肯定需要编译的； 2) SQL ...

jdbc预编译可以有两种方式： 方式一、jdbc自己实现的预编译，就是做一下特殊字符处理来防SQL注入，看PreparedStatement源码就可以了。 方式二、利用MySQL的预编译，。 ...

...

一、事故缘起 今天构造了一个超过 50 多个参数的 SQL 插入语句，在执行的时候提示 Not all parameters were used in the SQL statement，提示「SQL 语句中未使用所有参数」的异常，但是前前后后检查了 SQL 语句，发现每个参数都是与相应的字段 ...

SQL预编译中order by后为什么不能参数化原因 一、背景 防sql注入都用参数化的方法，但是有些地方是不能参数化的。比如order by后就不能参数化，她有个同事挖sql注入时找有排序功能需求的位置（比如博客常按时间排序），基本十之六七都能挖到sql注入。 二、不能参数化的根本原因 ...

一、背景 上周五有个朋友说，防sql注入都用参数化的方法，但是有些地方是不能参数化的。比如order by后就不能参数化，她有个同事挖sql注入时找有排序功能需求的位置（比如博客常按时间排序），基本十之六七都能挖到sql注入。 某些地方不能参数化，这个问题在以前面试时有被问过，但回答不上来 ...

PreparedStatement预编译的SQL可以有效的防止SQL注入，但是有些写法需要值得注意。 最关键的部分在 使用concat可以有效地拼接字符串 ...

在JDBC编程中，常用Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句，其中 Statement 用于通用查询， PreparedStatement 用于执行参数化查询，而 CallableStatement则是用于存储过程 ...